网络安全检查方案范文
时间:2024-03-20 17:53:44
导语:如何才能写好一篇网络安全检查方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
一、目的
通过检查全省卷烟销售网络建设工作以及“按客户订单组织货源”相关工作的完成情况,发现各单位网建工作中的特色、亮点,查找问题,督促整改提升,为20__年卷烟销售网络建设全面提升及按客户订单组织货源工作各项目标的全面实现奠定基础。
二、检查范围及时间
20__年2月16日-2月25日,省局(公司)对全省所有市、州公司进行全面检查。
三、检查内容
包括客户服务、营销管理、督察投诉、物流管理、队伍素质、运行指标六个方面,每个检查项目100分,综合评价根据每项实际得分,加权计算。计算方式:综合评价=客户服务*0.2+营销管理*0.2+督察投诉*0.15+物流管理*0.2+队伍素质*0.1+运行指标*0.15。(检查细则详见附件)
四、检查方式
(一)了解情况:通过市、州公司网建及“按客户订单组织货源”工作的情况汇报,全面了解市、州公司20__年卷烟销售网络建设全面提升及“按客户订单组织货源”推广工作整体情况。
(二)检查核实:查阅相关文件、制度、资料,了解各项指标完成情况,检查、核实工作落实情况及相关数据资料。
(三)实地走访:本次检查层面包括营销中心、督察(投诉)中心、物流中心、营销部,其中,每个市、州公司抽查所在地营销部和县级营销部各1个,每个营销部走访5户零售客户。实地走访过程中,注重加强与市场经理、客户经理、电话订货员等一线基层人员沟通,注重开展客户调查,了解情况,收集意见和建议。
(四)沟通交流:通过座谈形式,及时反馈检查信息,总结工作亮点和特色。
五、分组安排
本次检查由陈霖副总经理负责,卷烟经营管理部牵头,办公室、人劳处、政工处、计划处参与,分5个检查小组进行分组检查。
六、工作要求
(一)市、州公司要高度重视,严格按照检查方案要求,整理归集相关资料,认真总结,形成书面汇报材料,切实体现20__年以来网络建设全面提升工作情况、工作特色和亮点,切实做好迎接检查准备。
(二)省局(公司)各检查组要坚持实事求是、严肃认真、客观公正的原则,严格按照检查标准,全面、细致开展检查工作,如实记录检查结果,形成检查报告,并将检查结果作为20__年先进评选依据。
附件:
20__年全面提升卷烟销售网络建设及运行水平检查细则
一、客户服务
(一)客户服务体系建设
按照《四川省烟草公司卷烟零售客户服务管理办法》要求,制定、完善客户服务管理办法,健全服务体系。
(二)客户信息维护
1.v3系统中及时、准确维护零售客户基础信息。
2.按照国家局客户分类标准,定期分类测评。
(三)客户拜访
1.合理设置零售客户拜访周期,制定零售客户拜访计划。
2.客户经理拜访到位情况及>:请记住我站域名/
>
>
3.市场经理每周拜访客户不低于10户,营销部副经理每月走访客户不低于20户,营销部经理每月走访客户不低于10户,能发现问题,解决问题,有记录。
(四)基础工作资料
1.在v3系统中按时完成周/月工作小结。
2.市场经理在v3系统中按时填写月分析。
3.客户经理每月选取2-3户客户在v3系统中进行客户分析和个性化服务。
4.客户经理每月固定10户客户在v3系统中进行客户盈利水平分析,市(州)公司形成半年盈利水平分析报告1份。
(五)大客户监控
1.对月销量1000—1500条的客户加强管理,严格控制。
2.其户数及销量比例达到1%和10%以内。
3.跟踪记录,定期分析。
(六)边远农村委托配送管理
1.制定边远农村委托配送管理办法,严格审批。
2.其户数及销量比例达到1%和10%以内。
3.跟踪记录,定期分析。
(七)特殊场所客户管理
1.加强大型商场、超市、连锁店、烟酒专营店、娱乐等特殊场所等客户的服务管理,制定管理办法。
2.跟踪记录,定期分析。
二、营销管理
(一)需求预测
1.按照国家局、省局(公司)相关要求,建立健全卷烟需求预测工作机制、制定相关制度文件。
2.按照国家局、省局(公司)相关要求,切实制定统一的卷烟需求预测流程,作好需求预测基础性工作,进一步完善需求预测体系。
3.提高需求预测工作的执行力,按时、保质完成需求预测相关数据、报表以及开展情况的层层收集、整理、汇总、上报和评审,及时分析总结问题,不断改进,注重痕迹化管理。
4.加强对客户经理等营销人员以及零售客户的培训和宣传,提高客户经理预测能力和零售客户素质,不断提升卷烟需求预测的水平。
(二)货源组织及采购管理
1.根据省局(公司)下达的计划以及交易安排意见,结合本地市场情况,精心组织货源,作好协议、合同的签订工作。
2.建立预测对采购的指导机制,充分发挥需求预测结果对采购的指导作用,加强对商业订单等数据形成过程的质量控制,作好相关分析和数据记录,注重痕迹化管理。
3.加强对供应商的评价及管理工作,制定选择评价和重新评价供方的准则和方法,并保存评价结果记录和对供方采取的控制措施记录。
4.采购卷烟产品的信息要清楚、明确、适当,要符合产品合格标准/接受条件、接受程序、生产过程要求、过程设备要求、人员资格要求、qms要求等。
(三)订单采集和货源供应
1.客户经理和电话订货员的职责要明确,不能给电话订货员下达销售指标,客户经理不能制作订单。订单部必须真实、完整记录零售客户的自主需求信息,坚决杜绝“按货源安排订单”的错误做法。
2.货源供应要对工业负责、对品牌负责,对客户负责。制定统一的货源分配管理办法。特别是对限量品牌,要作到科学合理地确定实施限量的客户、品种、数量的合理比例,基本满足零售客户合理需求,尊重零售客户品牌选择权。
3.不准与零售客户进行协议销售,同时严格执行“六个不准”。
4.加强对总量浮动管理、限销品牌管理、顺销品牌管理以及货源自动分配等工作进一步的研究、探索和实践。
(四)品牌培育
1.按照国家局、省局(公司)的相关要求,建立品牌培育的组织机构,制定相关的制度。
2.统一制定品牌规划及管理办法、品牌评价体系,确定品牌培育的目标、计划方案、实施执行步骤、方法以及持续改进的措施。
3.做好品牌引入与退出、新品上市、品牌培育、维护、广告促销等管理工作,定期分析,注重痕迹化管理。
4.加强对重点品牌的培育和扶持工作,把重点品牌做大做强。
(五)工商信息协同
1.及时准确的向工业企业提供市场基础信息、工业企业产品信息、市场预测信息、零售客户信息、卷烟价格信息、卷烟质检信息以及专卖信息等。
2.及时准确的向工业企业收集工业企业的基本信息、卷烟品牌发展规划、卷烟产品研发信息 工业企业计划信息、卷烟发货信息等。
3.所有信息记录及时、真实、详尽,注重痕迹化管理。
(六)工商服务协同
1.工商双方协同做好对零售客户培训及信息、共享的工作,提升客户的素质及满意度水平,共建和谐的利益共同体。
2.工商双方协同做好对消费者的服务工作,通过建立和协调零售客户与消费者的沟通机制以及开展质量测评等工作来收集分析消费者需求、意见及建议,并通过提供优质的产品和良好的消费环境等增值服务来引导、满足消费者需求。
(七)工商预测协同
1.按照国家局、省局(公司)相关要求,建立健全工商协同预测机制,制定相关制度文件。
2.开展市场调研协同,与工业企业共同开展市场调查,对区域内的市场容量、市场消费特性、卷烟零售渠道、工业企业品牌表现等进行相关的调查,摸清市场容量和工业企业潜在的市场需求,为工商企业制定销售目标提供可靠的依据。
3.开展预测协同实施,应在年度、半年度、季度、月度需求预测之前收集工业企业对本地区需求预测意见,并纳入到需求预测体系,根据工业企业需求预测的准确程度及重要程度,可设定相应的预测权重。最终需求预测意见形成后需第一时间反馈给工业企业。
(八)工商衔接协同
严格按照国家局、省局(公司)规定的相关流程和交易管理办法进行货源的规划和采购,加强与工业企业的衔接协同。
(九)工商品牌协同
1.按照国家局、省局(公司)的相关要求建立工商品牌培育协同的相关组织机构和制度文件。
2.要建立新品牌引入机制和卷烟品牌退出机制,坚持公平公正合理的原则,充分尊重工业企业的意见和建议。
3.工商双方共同作好对卷烟品牌的市场定位和维护工作,促进卷烟品牌的健康成长和发展。
4.建立工商双方评价考核体系,一是要注重重点品牌培育、维护、跟踪、进货面、上柜率、合理定量、订单满足率、消费群体和生命周期的评价。二是要注重对卷烟产品质量、价格、市场宣传促销等相关信息的评价。
(十)工业企业满意度测评
1.做好对市场预测、货源衔接、品牌培育、信息共享、物流管理等方面的服务的评价工作。
2.做好对规范服务、调剂服务、会议服务、培训服务、保障服务等方面的评价工作。
3.遵守对工业企业的承诺,讲信用,尊重工业企业的意见和建议,接受评价,及时解决问题,不断提升工作质量和工商战略合作伙伴关系。
(十一)订单供货及工商协同营销工作的实施及考核 1.按照国家局、省局(公司)相关文件要求,切实制定订单
供货工作实施方案、工商协同营销实施方案。
2.研究制定并落实对订单供货工作、工商协同营销工作的督导考评体系,提升这两项工作的执行力。
(十二)沟通调研
1.营销中心定期召开营销例会,每月一次,有会议记录,并有效解决问题。
2.营销中心每年确定1~2个经营网建调研题目,开展调研,形成报告。
三、督察投诉
(一)健全工作制度
制定并完善监督、检查及考评实施细则。
(二)投诉受理
设置“800”免费投诉电话,设立专门的投诉工作场所,统一开展客户投诉及处理工作,跟踪落实,定期汇总分析。
(三)三级督察
1.督察考评部门制定年度督察工作方案及督察工作计划。
2.实施三级督察,市(州)公司领导按季度督察;督察(投诉)中心每月督察,督察面不少于20%;营销部每月督察,督察面不少于30%,与督察(投诉)中心督察面不能重复。
四、物流管理
(一)入库管理
1.健全完善卷烟入库管理工作流程,规范操作。
2.严格按照国家局“一号工程”要求,卷烟入库扫码。
(二)库存管理
1.健全完善卷烟库存管理工作流程,规范操
作。
2.加强库存预警线管理,确保库存合理。
(三)出库管理
1.健全完善卷烟出库管理工作流程,规范操作。
2.严格按照国家局“一号工程”要求,卷烟出库扫码。
(四)盘点管理
1.健全完善卷烟盘点管理工作流程,规范操作。
2.盘点记录详实。
(五)分拣管理
1.健全完善卷烟分拣包装工作流程,规范操作。
2.卷烟打码到条。
(六)送货管理
1.健全完善卷烟送货管理工作流程,规范操作。
2.货物交接手续齐备,货款及时回笼。
(七)退货管理
1.健全完善卷烟退货管理工作流程,规范操作。
2.退货记录详细。
(八)物流资源优化及成本管理
1.制定线路优化方案,综合分析,合理优化线路。
2.编制物流费用预算,加强配送成本监控,定期分析。
五、队伍素质
1.制定具体培训方案,积极开展培训,市公司集中培训全年至少2次,客户经理的培训时间不少于30小时。
2.组织对《v3系统操作指导大纲》进行学习培训,并进行测试。
3.组织开展对卷烟包装标识调整宣传工作的培训。
六、运行指标
1.完成省局(公司)下达卷烟各项销量计划及重点品牌计划。
2.零售客户订单满足率。
3.月度需求预测总量准确率。
4.协议变更率。
5.百牌号销售比重。
6.重点骨干品牌增长率。
7.卷烟入网销售率100%。
8.电话订货率98%以上,电话订货成功率98%以上。
9.市(州)公司所在地城区电子结算率60%以上,电子结算成功率90%以上。
10.第三方调查,零售客户满意度达到90%以上,对卷烟供应满意度80%以上,零售客户毛利率10.5%以上。
11.投诉数量同比下降,客户对处理结果满意率95%以上。
12.分拣到户率100%,含手工分拣。
篇2
一、计算机涉密信息管理情况
今年以来,我局加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照局计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我局配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我局每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在局开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及
我局对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我局结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全局人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我局网络安全有效地运行,减少病毒侵入,我局就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
网络信息安全自查报告(二)
根据路局《关于在全局范围内开展网络与信息安全检查行动的通知》(XXXXXXXX)文件精神。我站对本站网络与信息安全情况进行了自查,现汇报如下:
一、信息安全自查工作组织开展情况
1、成立了信息安全检查行动小组。由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析。整改,提高了对全站网络与信息安全状况的掌控。
二、网络与信息安全工作情况
1)组织成立了网络与信息安全检查工作小组,由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员。
2)研究制定自查实施方案,根据系统所承担的业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的梳理并综合分析。
2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情况进行逐项排查。
1)系统安全基本情况自查
客票发售与预订系统为实时性系统,对车站主要业务影响较高。目前拥有IBM服务器2台、cisco路由器2台、cisco交换机13台,系统均采用windows操作系统,灾备情况为系统级灾备,该系统不与互联网连接,防火墙采用永达公司永达安全管控防火墙。
旅客服务系统为实时性系统,对车站主要业务影响较高。目前拥有HP服务器13台、H3C路由5台、H3C交换机15台,系统采用linix操作系统,数据库采用SQLServer,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
2)安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3)网络与信息安全培训情况
三、自查发现的主要问题和面临的威胁分析
四、改进措施
五、整改效果
网络信息安全自查报告(三)
学校接到:“重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知”后,按文件精神立即落实相关部门进行自查,现将自查情况作如下报告:
一、充实领导机构,加强责任落实
接到文件通知后,学校立即召开行政办公会议,进一步落实领导小组及工作组,落实分工与责任人(领导小组见附件一)。鱼洞二小网络安全大检查专项行动由学校统一牵头,统一指挥,学校信息中心具体负责落实实施。信息中心设立工作小组(工作小组见附件一),小组成员及各自分工落实管理、维护、检查信及培训,层层落实,并坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则,保障我校校园网的绝对安全,给全校师生提供一个安全健康的网络使用环境。
二、开展安全检查,及时整改隐患
1、我校“网络中心、功能室、微机室、教室、办公室”等都建立了使用及安全管理规章制度,且制度都上墙张贴。
2、网络中心的安全防护是重中之重,我们分为:物理安全、网络入出口安全、数据安全等。物理安全主要是设施设备的防火防盗、物理损坏等;网络入出口安全是指光纤接入防火墙->路由器->核心交换机及内网访问出去的安全,把握好源头;数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。信息中心有独立的管理制度,如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等,便于发现问题,既时查找。
4、强化网络安全管理工作,对所有接入我校核心交换机的计算机设备进行了全面安全检查,对操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级,确保网络安全。
5、规范信息的采集、审核和流程,严格信息审核,确保所信息内容的准确性和真实性。每周定时对我校门户网站的留言簿、二小博客上的贴子,留言进行审核,对不健康的信息进行屏蔽,对于反映情况的问题,备份好数据,及时向学校汇报。
6、本期第三周我校在教职工大会组织老师学习有关信息网络法律法规,提高老师们合理、正确使用网络资源的意识,养成良好的上网习惯,不做任何与有关信息网络法律法规相违背的事。
7、严格禁止办公内网电脑直接与互联网相连,经检查未发现在非涉密计算机上处理、存储、传递涉密信息,在国际互联网上利用电子邮件系统传递涉密信息,在各种论坛、聊天室、博客等、谈论国家秘密信息以及利用QQ等聊天工具传递、谈论国家秘密信息等危害网络信息安全现象。
三、存在的问题
1、由于我校的网络终端300多个点,管理难度大,学校没有多余的经费来购买正版杀毒软件,现在使用的是伪版的或者免费版本的杀毒软件,这给我们的网络安全带来了一定的风险。
2、我校的服务器共有5台,但我们没有一套网络管理软件,平时全靠人工手动去管理,管理难度大,所以平时难免有忘补丁升级的时候,这难免也存在一定的安全风险。
篇3
1、网络安全评估现状
1. 1 传统的评估方法
传统网络安全检查和评估方法主要以人工的方式进行,评估的方法有下列几种:
(1) 通过查看网管信息,了解网络的连通性,获取网络流量、负荷等信息;(2) 通过登入网络设备对网络配置和动态性能参数进行查看,并人工确认信息的正确性;(3) 查看网络日志发现网络存在的隐患.
1. 2 存在的主要问题
传统的网络安全检查和评估方法存在以下不足:(1) 检查过程比较繁琐,加大了工作人员的工作量,容易产生漏查、错查等情况,达不到全面检查的效果;(2) 对检查人员技能要求较高,检查人员需要具有较强的专业知识,熟悉设备的操作方法;(3) 需要反复输入命令,造成时间的浪费,工作效率低下;(4) 无法对所检查的信息进行整理和保存,不利于障碍的排除和后期的查看.
2、解决方案
本项目以网络管理的实际工作为出发点,紧跟现代信息技术的步伐,利用 Java 技术,建立客户端/服务器(C/S) 的界面,根据日常维护的具体要求,实现静态数据分析、动态性能参数检查等功能,并且针对不同网络设备可以按要求自主设置检查模板,同时具备导出相应分析报告的功能.
2. 1 设计思路
采用 Java + Swing 技术,开发客户端操作界面,具备静态数据分析和动态数据分析等功能的操作界面; 在总结、归纳大量的配置检查规则的基础上,设计多个规则模版,确保检查的正确性.
2. 2 技术架构和原理分析
采用 Java 语言来开发系统软件,使用 C /S 架构来搭建系统程序,可以方便操作人员使用.[7](1) 硬件结构 包括交换机、局域网内的 PC机客户端. PC 机建议配置: CPU 为 P4 2. 6 GHz 及以上,内存为 512 M 及以上.(2) 应用软件 Minitool; 编程语言为 Java和 xml.(3) 开发工具 myeclipse6. 5; 操作系统为Window s 2003.具体技术架构如图 1 所示.
(1) 静态分析 利用 I/O 工作流对已经生成的信息文件进行读取,并利用已设定的分析规则对文件进行检查,在程序中显示检查的具体内容和正确性,根据需要手动导出结果报告. 静态分析流程如图 2 所示.
(2) 动态分析 采用多线程连接终端设备,在程序中显示设备的连接状况和运行状况,可以手动停止程序的运行,其中包括连接测试和分析两个主要功能. 连接测试是指对每个设备进行连接,测试结束后制定目录自动生成测试结果; 分析是指在测试完成后对每个设备的制定规则进行分析,并在结束后导出分析结果. 动态分析流程如图3 所示.
(3) 制定规则 操作员可以在该功能中指定检查项目名称和检查要求,并对每个检查要求的具体操作规则进行添加,将其保存在已经创建好的 xml 文件中,也可指定 xml 文件对其内容进行增、删、改、查;(4) 模板管理 利用可视化界面对保存在特定文件夹下面的配置文件进行创建和删除的操作.3、 程序功能及界面简介。
静态分析是对已经导出为 txt 文件格式的设备信息进行分析,通过导入设备信息文件选择相应的检查模板,点击开始按钮即可自动检测信息文件的安全程度,并动态地显示在输出框内,如图 4 所示. 其右上角用仪表盘形象化地显示了评估分数,目的是检查现有设备的信息安全程度.通过图 4 的导出按钮可以将分析完成的结果导入 Excel 文件中,可方便查看打印或者保存,如图 5 所示.动态分析是利用远程登入方式(ssh 或者telnet) 对设备进行实时的连接和分析,输入文件可以选择事先预设好的远程设备、用户名密码等信息的文件,输出路径可以选择分析结果数据保存的位置,然后选择连接模式和分析模板对设备进行动态分析,其目的是可以实时地连接远程设备,并通过预设的条件对其进行安全评估.
针对某一个具体模板中各种检查项的操作,则可以选中检查项,按删除检查项按钮进行删除,也可以对具体检查项内容进行设置,如设置项目名称、要求等,并且可以选择添加至某个模板. 对具体检查项可以进行添加、重置、撤销和更新操作: 添加是向检查项中加入一则新的规则; 重置是对当前检查项进行清除; 撤销是消除最后添加的规则; 而更新是对修改完的检查项进行更新,其目的是为了增、删、改具体的检查条目,并添加至相应的检查模板.4、 系统比较。
传统的安全评估方法: 大都是人工对设备进行信息安全评估; 检查模板较少,只能进行少部分的信息检查; 检测内容不够灵活,导致错误评估的出现.本系统在总结传统的安全评估方法不足基础上,进行完善和创新. 本系统主要对模板的设计和制定进行了多方面创新. 首先,可以对某一类的检查进行归纳,例如设备 CPU 的运行状况、温度的高低等,都可以归在同一类模板中,系统对创建的模板进行保存,便于下次直接调用. 其次,在传统的软件中,有些自动检查内容不够灵活,碰到特殊的情况,会检测不到所需要的信息,甚至会错误地反馈信息. 例如要检测端口信息,只要检测其中打开的端口,而对于关闭的端口就不必检测,这在一般的评估软件中很难判断哪些端口是关闭的. 本系统针对这些情况,对检查的内容进行分步操作,利用 Java 字符串可拼接的特点对每条检查内容进行分割,提取其中的关键字符串,并对其前后进行限制,使其成为一个基本的、唯一的关键字符串. 这些由多个关键字步骤组成的完整的检查项目可以大大地提高准确率,而且添加关键字组成的检查条目可以灵活地确定所要检查的内容,去除不必要的选项. 最后,本系统通过 C /S 界面的方式可以形象化地对各个模板及其检查项目进行添加、删除、修改等操作,并为每个检查条目设定分值,以便在导出报告和静态分析中更好地确定评估结果.本系统的特点如下:(1) 图形化操作,方便简单;(2) 采用多线程技术,可以同时交替进行多个流程,提高了流畅性;(3) 运用 xml 技术,对程序配置进行了保存,使操作更加简便;(4) 使用 ssh 和 telnet 技术,实现了远程登入;(5) 生成日志文件,方便系统异常查看;(6) 数据自动分析,减少了工作量,提高了维护的准确性和安全性.
篇4
全年协助主任落实完成部门工作及学校部署、以及临时安排的各项工作,除了完成日常工作、处理部门内各项事宜外还完成了。
一、撰写中心关于中央财政专项规划材料,含7个项目计划表、申请书、绩效目标申报表,目前剩下2个项目;
二、与省机要局建设保密传输系统项目完成对接、设备上线,并在投入使用中提供技术支持,完成保密工作栏目建设;
三、AAA、BBB完成黑龙江省“全面加强网络安全 推进教育信息化”专题网络培训示范班学习,获得学习证书;
四、完成省教育厅《关于加快推进教育行业信息系统安全等级保护的通知》文件附件填写,设计规划我校信息系统安全等级保护工作方案;
五、完成锅炉房二、三、四楼综合布线及光缆铺设工程,综合训练馆光缆维修,解决老干部、后勤等部门上网办公需求,解决求智楼与机关楼核心机房光纤互联及求智楼内所有房间上网问题;
六、帮助安装机关楼八楼会议室电视及线路,解决视频播放、幻灯片播放问题;
七、参加业务交流及学习7次;
八、帮助财务处施工、部署安心付服务器及系统上线,并在其投入使用后提供技术支持;
九、在OA平台《提升师生信息技术应用能力的培训》信息20余期;
十、假期不休息,配合后勤部门解决学生第四、第五公寓楼内综合布线、网络无线覆盖工程,后勤整改工作情况汇报材料制作,29届大冬会火炬传递线路绘图等工作;
十一、大冬会火炬传递现场技术服务等工作;
十二、组织网络安全宣传周、省教育厅网络安全检查、省保密检查、首都体院来访等相关事宜;
篇5
【关键词】自动化 网络建设 电力调度 安全机制
从电网调度自动化系统的配备情况来看,国家、省级三级调度系统已经配备了该系统,并且电网调度均已经实现了全国联网在功能方面,主要有SCADA功能、WEB服务、PAS功能系统接口和DTS功能等,电力调度自动化实现了这些功能。
1 从系统物理层方面解析电网调度自动化
1.1 使用达到的安全环境指标
从国标GB2887―89《计算机场地技术条件》、国家标准GB5O173_9《电子计算机机房设计规范》、GB9 361-88《计算站场地安全要求》三个指标来看,进行自动化机房调度能够达到以上的三个标准。在实施调动自动化机房需要考虑到机房地板的条件范围:机房温度在15℃至30℃,机房湿度在10%到75%之间,火气压力范围在86至108kPa之间,而机房温度采用有质量保障的防静电地板。
1.2 使用达标的设备安全指标
针对于机房电源的使用,双机冗余在服务器领域使用,双通道或者是比双通道更高的一个标准作为数据信息搜集的安全指标,UNIX服务器在大型集控站和地调上使用,机柜使用的标准达到机柜的参数标准,所以机房电源需要的是大功率延时电源,方可确保电力使用的安全性。而定期检测UPS电源的使用情况,以免使用时间较久出现漏液的问题。
1.3 确保传输介质安全所要达到的指标
由于受到电力企业和集控站的电磁干扰的原因,网线需要屏蔽电磁干扰,尽量选择RJ45头和双绞线来解决。制作RJ45头需要做到以下几点:第一按照顺序排列整齐,插入RJ45插头,使用压线钳弄紧。第二双绞线不能够露在外面,如果露出的部分已经超过了12MM的话,就会降低网线通讯质量标准,导致近端串扰和回拨损耗的问题。
1.4 视频监视设备
在没有人看守的情况下,处于110kv或者是110kv以下的变电站运行如何才能够保证其安全?时刻监控环境和操作环境,该设备是安全稳定的,目前绝大多是使用视频监视设备。
2 网络安全实现与防范的标准
确保网络结构的安全是通过关键网络结构、网络系统和路由的优化组成的,它也是确保网络安全的一个重要方面。网络结构通过体系结构分层来运行,达到安全管理实效的目的,便于业务的拓展以及进行有效的控制。
2.1 网络拓朴的标准配置
地级以上调度网、冗余链路大规模的集控站通常使用的都是双网结构模式,在数据采集通道上则是需要达到标准,采用的备用链路要达到2到3条,这个就是网络拓扑所需要达标的一个标准配置。
2.2 网络分段的有效方法
确保网络安全的有效的方法就是进行网络分段,同时也是对网络广播风暴的一种控制的有效措施。网络分段的通常表现手法是进行逻辑分段和物理分段两种。为了达到隔离敏感网络资源和非法用户的目的,有效控制可能遇到的非常监听。从目前的情况来看,以交换机为中心、路由器为边界所形成的网络环境格局是电力调度自动化局域网的主要运行手段,为了能够突出三层交换功能和中心交换机的访问功能两个作用,同时为了能够达到对局域网有效控制的方法,可以采用综合应用物流分段和逻辑分段的方法来实现。
2.3 交换机、路由器的网络设备安全的安全防护方法
不法分子对路由器和交换机进行攻击,则会导致网络的严重瘫痪,因为路由器和交交换机有效的解决办法也就是说,加强IOS漏洞的安全性,对管理终端口命令进行严密的保密措施是解决黑客攻击路由器和交换机的有效方法。
2.4 运行网络主机安全和物理安全所需要达标的标准
单靠防火墙来确保整个网络安全的话是不够的,需要结合其他方法才能够确保整个网络系统的安全。加强对物理安全措施和网络主机的操作系统安全是提高网络系统安全的方法。对于电脑防护安全的重要程度来看的话,文件系统安排在第一位,接下来是应用服务安全、系统服务安全、操作系统的内核安全以及主机系统的物理安全。从安全防范措施来看,针对于主机的安全检查和漏洞的修补,加上系统进行安全备份则是作为辅助检查来保护系统的安全性。有效控制突破防火墙和发起的内部攻击是确保网络系统安全的第二个措施。最后的防护网络系统的方法是进行系统备份,这个也是在黑客攻击网络系统之后进行的系统修复。对系统进行安全检测,入侵查看和应急处理所采用的一整套的安全检查和各项应对措施,则是在防火墙和主机安全措施使用之后所采取的方法。黑客攻击的方法是这样展开的,突破防火墙和网络主机的限制,从网络链路层识别网络状态信息,然后进行输入,然后进行入侵检测子系统。判定是否有入侵检测系统,可以看是否有相关入侵事件的发生,一旦有这样的情况,采取应急措施,警示对方。系统安全审计还可以对信息来源加以修正,能够有效预防攻击者所发出的攻击行为,妥善处理其后果,有效提高系统安全性。
2.5 网络防火技术的安全性
隐蔽智能网关是目前安全指数最高的防火墙技术,它的隐秘性则是体现在公共系统之后,能够避免入侵者的直接攻击。隐蔽智能网关有连个作用,第一禁止不法分子对专用网络在没有授权访问的基础下进行访问,也能够对访问互联网的人进行有效的日志备忘。它的安全级别之高,也是确保网络系统安全的一种非常有效的方法,同时也能够阻止不法分子的破坏和入侵。
3 结语
通过上述分析,得出以下结论:为了确网络安全的最大化效益准则,我们应该要对电力调度自动化系统网络安全隐患加以重视,积极深入探索。为了确保电力调度系统和电力系统的安全使用的标准,应该做到各项安全措施的落实,采用科学的防护手段来提升其整体性的使用安全效益。
参考文献
[1]许林冲.浅论现代电力系统自动化技术[J].中国城市经济,2011.
[2]詹俊平,戴慧.浅谈电力系统调度自动化技术应用及发展[J].科技创新与应用,2013.
篇6
一、总体目标
通过开展创建活动,有效解决我局信息网络安全管理工作中存在的突出问题,做到“两提高两健全”,即提高全局人员网络安全意识,提高全局人员网络安全技术的运用水平;健全我局网络安全和终端设备管理工作机制,健全门户网络信息安全审核机制,营造“安全、文明、和谐、稳定”的网络环境,确保全局信息网络安全运行。
二、组织领导
为加强对创建活动的组织领导,我局成立了由局主要负责人任组长,副局长和各科室负责人为成员的局“平安互联网”创建工作领导小组,领导小组下设办公室,具体负责相关事宜,形成健全的“平安互联网”创建工作组织领导保障体系。
三、创建步骤
(一)动员部署。即日起至7月中旬为动员部署阶段,由局各科室负责人牵头,学习《区审计局“平安互联网”创建工作方案》,全面自查本科室网络基本情况,积极参与、配合做好“平安互联网”创建工作。
(二)创建推进。7月中旬至10月底为创建推进阶段,局“平安互联网”创建工作领导小组办公室将依照《泰州市区“平安互联网”创建活动考评标准》逐项开展自查自纠以及检查督导,掌握各科室信息网络安全情况,做到“五个确保”,即确保本单位参创率和安全检查率达100%,确保互联网安全技术措施建设率达100%,重要信息系统定级备案、等级测评率达100%,确保网络安全员培训发证率达100%,确保本单位不发生重大网络安全案(事)件。重点抓好以下工作:
1.完善相关制度。建立健全互联网日常安全管理的各项制度,并通过会议、文件等形式进行学习和宣传。
2.加强设备管理。明确专人负责移动存储设备更换、添置、回收的登记工作;明确专人负责局机房网络系统设备的日常运维管理工作。
3.强化网安措施。一是做好局所有外网机的IP分配管理;二是做好内、外网机的隔离使用管理工作;三是做好内网信息系统与互联网的隔离管理工作;四是做好移动存储设备保密安全工作;五是检查计算机防火墙是否配置有效,及时更新杀毒软件数据库。
4.规范子站管理。做好区政府网站审计局子站的后台账户及密码的修改和保密工作;做好子站信息公开的“两级审核”记录;定期梳理公开内容,及时做好政府信息公开工作。
(三)迎检考评。11月初至12月底为创建活动自查迎检阶段,由局“平安互联网”创建活动领导小组牵头,办公室负责具体实施,各科室密切配合,上下联动,完善创建活动台帐资料,迎接上级部门考核。
四、工作要求
(一)强化思想,提高认识
全局人员要充分认识新形势下“平安互联网”创建工作的重要性、必要性、紧迫性,以本科室创建工作为着眼点,从自己做起,切实、有序地做好“平安互联网”创建工作。
(二)落实措施,保证实效
各科室要对照局创建工作方案和区创建活动考评标准,结合自身实际,对本科室网络安全、保密、设备管理等方面工作进行自查,针对不足,及时改进,确保创建活动高质、高效完成。
篇7
当前,随着生产智能化程度的不断提高,工业设备的深度互联和信息基础设施的广泛应用,对信息安全提出了更高层的要求,云计算、移动互联、大数据、工业控制和物联网等新技术也为工业领域带来了新的安全风险。从2010年到2015年期间,一系列的安全事件陆续发生,2010年震惊世界的Stuxnet病毒爆发、2011年的“Duqu”病毒、2012年的Flame火焰病毒、2014年蜻蜓组织利用havex恶意程序对欧美地区千余家能源企业所进行的攻击,以及2015年末的乌克兰变电站被攻击事件,都是典型的影响深远、波及广泛、造成经济损失惨重和社会危害性极高的工控安全事件。
据美国国家网络安全和通信综合中心(NCCIC)统计,近5年来,公开安全漏洞数达1300多个,其中2015年安全漏洞就有486个,呈明显增长趋势。《2016工业控制系统漏洞趋势报告》显示,工业控制系统漏洞正在逐步增多,在2014到2015年之间存在着49%的高速增长。
从国家相关政策颁布来看,自从工业和信息化部451号文之后,国内各行各业对工控系统安全的认识都达到了一个新的高度。电力、石化、制造和烟草等多个行业陆续制定了相应的指导性文件,来同步指导相应行业的安全检查与整改活动。由此看来,保障工控系统网络的安全性,实现工控安全的国产化应用是重中之重。
北京中科网威信息技术有限公司(以下简称中科网威)是国内最早从事工控安全研究的企业之一,在自主可控工控安全方面有着专业、深入的研究。中科网威认为,工控网络安全是传统网络安全在工控网络的延伸,指导工控安全建设的理念和方法论是相同的,即所谓的“老套路”。但工控系统又有别于传统的信息系统,具备一定的特殊性,如资产变化小、资产访问关系清晰、可靠性要求高、通信协议安全性差等。随之也产生了一些新问题,传统的安全防护手段是无法在工控现场环境中直接使用的,例如漏洞扫描、攻击测试等。这些新的问题只要采用新的方法和手段去解决即可,其整体的理念和方法论与传统的是相同的。
结合我国传统网络安全产品的发展状况,中科网威提出了自主可控的工控安全理念。网络安全产品自主化进程经历了三个阶段:无自主可控阶段、半自主可控阶段和全自主可控阶段。如今我国自主品牌的工控安全产品已经完全具备了直接进入第三阶段的技术水平,即不但软件要自主,处理器更要自主。
在愈发严峻的网络安全形势背景下, 2013年初,中科网威在与申威处理器深度合作的基础上,打造了基于申威的自主可控品牌――中科神威,以中科神威的自主可控防火墙为例,它已经成功替换了部分以国外x86芯片为技术核心的传统防火墙,并率先在党政军等行业的核心、敏感、要害部门有了批量应用。
网络安全产品采用自主可控的处理器,也就意味着在信息化时代掌握了事关国家经济安全的重大技术话语权。专注网络安全领域多年的中科网威,不仅坚信申威处理器的技术实力和发展潜力,而且敏锐地洞察到自主可控市场潜在的巨大发展空间,并迅速开展了市场推广工作。
随着自主可控网络安全行业的不断细分,用户需要的不仅仅是单一的安全产品,更是整体的解决方案与安全技术服务。在这个行业,如果还是一味的销售产品,不着眼于理念的革新,那么企业将越做越难,尤其是在国产化安全产品竞争如此激烈的时代。为了推动自主可控网络安全市场的发展,中科网威正与合作伙伴配合,共同推出自主可控的网络安全解决方案,与合作伙伴合作共赢,共同推动中国网络安全产业的发展。
中科网威作为网络安全民营企业,拥有多项工业控制系统安全产品发明专利和核心技术。对于网络安全行业的自主可控应用,有着自己的见解和应对之道,并在业内率先提出了“芯改变,更安全”的安全理念。正是凭借一系列的突破,中科网威在国内自主可控网络安全领域中占据了领跑者的地位。
篇8
计算机信息管理工作面临非常大的挑战,如何在这种情况下保持互联网环境的安全,完善对于计算机网络信息的保护手段是我们现阶段需要大力解决的问题。
互联网技术给我们的日常生活带来了很大的方便,但是在我们使用互联网的同时也可能存在很多的安全隐患。为了解决这些现阶段存在的问题,我们现在一般使用防火墙技术,通过服务器对外部入侵情况进行监测和鉴定,对计算机进行实时的防护。
虽然我们应用了这些技术进行防护,但是计算机安全信息防护依旧有很多问题需要我们解决,严重影响着使用者的正常使用和网络安全。
1、计算机网络信息安全分析
计算机网络的开放和共享给互联网的用户提供了更加方便的信息获取途径,同时也是因为互联网具有这样的特性,所以也让互联网存在很多安全隐患,在我们对计算机信息安全进行挂了你的同时,我们要认真管理和访问的信息,确保计算机不受非法信息的影响正常工作。
1.1安全性指标分析
我们针对计算机网络信息管理和安全防护的安全指标分析主要有保密性、授权性、完整性、可用性以及认证性。这些指标都是我们对计算机网络信息是否安全进行判定的基础。
保密性是指我们通过加密的方式让计算机自动识别没有授权的访问和操作请求,只有通过计算机授权的使用者才能够访问网络上的相关数据。[1]用户的授权范围也是计算机信息防护的重要依据,授权的范围我们一般是通过控制列表或者策略标签的方式来进行管理,这样的最终目的就是为了能够保证计算机系统授权更加合理和安全。
为了保持计算机信息安全的完整性,我们可以通过散列函数以及各种加密方式来防止非法入侵计算机的行为发生,可以确保信息在互联网上的完整和安全。计算机信息的可用性主要是指我们需要保证计算机网络信息系统在受到非法入侵的同时能在第一时间恢复相关信息的数据备份,让计算机网络系统在短时间内恢复正常运行。
为了确保计算机的所有者和当前计算机的使用者的同一人,我们一般采用系统认证的方式来确保信息版权,现阶段所使用的认证方式主要有实体认证和数据源认证两种模式。
1.2计算机网络信息管理存在的问题
我们通过实践证明,计算机网络信息管理存在的问题主要是对网络信息管理的完整性和可用性来进行安全检测的,其次我们需要对计算机网络信息管理的工作进行授权、保密和认证。
首先我们需要关注一下网络信息安全的检测工作,我们通过全面良好的信息安全性检测,可以在最大程度上避免了资源开放和网络信息脆弱性之间的冲突,可以让安全管理人员能够更加及时发现安全隐患,解决这些问题,确保计算机信息不丢失,并且能够在短时间内恢复正常工作。
其次我们需要对信息访问进行有效的控制,无论是对于信息的所有者还是信息的使用者来说,在使用网络信息的时候都需要有一个访问权限的有效控制,换言之,对于计算机网络的信息数据安全防护的关键点在于个人信息的储存以及资源的上面。
2、如何加强计算机网络信息的安全管理工作
2.1加强管理制度的建立,引起足够的重视
我们应当按照不同单位工作的特点来进行相关管理制度的制定,比如计算机使用管理规范、保密协定、计算机定期检查管理规定等各种制度。我们需要成立专门的管理小组,对计算机的管理制度进行制定和完善,同时我们应当将责任落实到每个人的头上,加强对于网络信息安全的监督和管理工作,增强整个管理小组的执行力。同时管理人员需要严格遵守相关信息的保密协议,对于一些机密信息的录入和的过程,一定要进行全程的安全检查,并且杜绝相关信息的泄漏,防止发生网络安全隐患。
[2]在检查过程中,一旦发现问题就要马上进行整改,确保安全管理工作的正常进行。同时要对相关人员进行培训和宣传,并且有组织的对计算机网络知识、数据安全和防护等技能进行培训,将安全意识融入到日常的工作中。
2.2加强日常的防范工作
日常的防范工作我们首先要从病毒防火墙入手,无论是中心管理系统还是分端的服务器都需要进行相关的病毒防护,及时对软件进行在线升级。要对内外网访问的客户端进行严格区分,机房设备要定期的对网络数据进行维护和备份,必要的时候可以进行异地储存,确保信息不会因为病毒的入侵而导致丢失。同时我们还需要对病毒进行定期扫描和杀毒,对于可能携带网络病毒的邮件,要求在使用之前必须对其进行杀毒处理。[3]其次我们要加强系统服务器的防雷电处理,在服务器连接终端我们需要安装防雷装置,保证在及时在雷雨季节,各项设备也能不受雷雨的影响正常运行。
其次我们需要增强应急预案的制定,建立一套完整的应急管理方案,完善应急管理的各个程序,定期进行应急方案的预演,确保真正发生特殊情况能够不慌乱,以最正确的方式进行处理。同时我们还需要增强对内外网之间的隔离以及防火墙的边界隔离。通过隔离有效的避免外来攻击的情况发生。单位要对移动储存介质进行严格控制,若需要使用必须进行严格的等级,避免外来病毒对计算机造成危害导致信息泄漏,同时对于计算机密码要进行严格的管理,对于所有涉及到安全性信息的计算机都要设置对应的密码,并且要定期修改密码。
严格使用桌面安全防护系统,这个系统可以对每台计算机进行有效的监控,实现计算机软件和硬件的实时管理。[4]不仅信息中心需要定期进行备份处理,个人的重要数据也需要定期备份,确保数据都能够安全的储存和使用。
2.3采用专业性解决方案保障网络信息的安全
大型单位的资源比较庞大,所以我们可以采取专业性的方案来进行网络信息安全的防护。我们通过采用防火墙等技术防止木马的侵袭。一些比较大的单位一般下属都会设有很多的分部门,但是对于每个部门来说有很多对于部门网站都不是进行统一管理的。这就造成了每个小部门的网络安全管理能力较弱,容易成为攻击和侵害的对象。
总结
新时代的计算机网络信息安全管理正在不断的想着完整性和系统性迈进。但是随着计算机网络技术的不断发展,网络安全技术存在的问题也逐渐得到提现,需要我们关注。有效的加强计算机网络信息安全是非常重要的,对于单位和个人来说都具有非常大的经济价值和社会价值。
篇9
关键词:网络安全;802.1X协议;企业内网;安全接入控制
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2013)23-0157-03
目前,国内的大中型企业均已完成了企业内部网络和信息系统的建设,但各类来访人员终端接入公司内部网络时,普遍处于不可控状态;另外,企业在金融资本市场上需要遵守某些国际的规则和法案(如SOX法案404条款)。企业成立内控部门,力求企业生产运营过程各环节的可追溯、可审计。因此,需要通过对于终端接入的认证管理,实现终端接入的可控和可审计,满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究,提出解决方案。
1 802.1X协议及解决方案
1.1 什么是802.1X
IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议,802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。
在802.1X出现之前,企业网上有线LAN应用都没有直接控制到端口的方法,也不需要控制到端口,但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1.2 802.1X认证体系结构
802.1X的认证体系分为三部分结构:Supplicant System客户端(PC/网络设备)、Authenticator System认证系统、Authentication Server System认证服务器。
基于以太网端口认证的802.1X协议有如下特点:IEEE802.1X协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
1.3 802.1X解决方案
1.3.1 Cisco NAC。思科与防病毒厂商(包括趋势、McAfee等)合作的安全网络接入控制(下称NAC)方案,可实现基于用户身份的认证,也可对客户端防病毒安全状态进行评估,对不满足条件(预先制定的策略)的用户,对其接入网络的能力和范围实现控制,从而提高全网整体的安全防护能力;采用思科网络安全接入控制方案(NAC),可以有效地解决SOX法案要求局域网接入认证的内控要求。
NAC是由思科公司倡导的跨业界合作的整套安全解决方案,自2003年11月提出后获得防病毒厂商的广泛支持。目前,包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商,都已成为思科NAC合作伙伴。
1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统(以下简称终端安全系统)是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全,对终端的安全状况进行检测,并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动,限制不符合安全要求的终端的上网。
1.3.3 局域网准入方案比较。
实施方法比较:
(1)协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证,即无客户端方式,为用户提供另外一种选择。
身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台;华为只能以用户名/密码方式进行身份认证,思科除了采用用户名/密码方式外,还可以采用证书方式管理用户身份。
管理方式方面。都采取集中式控制和管理方式。策略控制和应用由策略服务器(通常是RADIUS服务器)和第三方的软件产品(病毒库管理,系统补丁等)协作进行;用户资料和准入策略由统一的管理平台负责。
(2)协作厂商比较。NAC是由思科公司倡导的跨业界合作的整套安全解决方案,于2003年11月提出。其主旨是向已获授权的合作伙伴提供协议和技术信息,以便合作伙伴开发和销售支持NAC网络、策略服务器及客户端应用。NAC方案支持的厂商包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商。
EAD方案,于2005年底在媒体上逐步推出。EAD方案目前支持的厂商主要有瑞星、江民、金山三家厂商。
(3)对现网设备利旧的支持。思科NAC方案和华为EAD方案虽然在业务控制流程和功能组件上类似,都是基于对802.1X和EAP协议的开发,但目前并不兼容。
NAC方案:由于目前大型企业数据网络设备中主要采用的是思科的接入设备和策略控制服务器,采用思科NAC方案可以充分利用现有的网络设备和策略控制设备。
EAD方案:如果采用华为EAD方案,现在思科的接入设备将全部更换,并且需要配置新的策略控制设备。
(4)与现网设备的兼容性。
NAC方案:思科方案与现网设备不存在兼容性问题。
EAD方案:由于华为EAD方案必须采用华为的二层交换机,与现网思科的交换机互联,很容易出现由于生成树协议配置不当而引起广播风暴。
2 接入控制技术的实际应用
2.1 企业内部网络现状
浙江某运营商DCN网络是企业的运行支撑网络,为各个专业网管系统和企业应用系统提供了统一的数据通信平台,目前网络已经覆盖到各交换母局和大的营业网点。
当前存在的问题如下:(1)移动办公和远程维护的需求强烈,但缺乏安全的接入手段,因此只能小范围试用。(2)内网多出口现象严重,绕开统一出口直接访问公网,造成病毒严重,严重威胁内网安全。(3)缺乏安全的内网无线接入手段。(4)内网缺乏统一的安全策略规范和控制机制。(5)没有接入控制机制,内网接入随意,基本没有保护,对第三方人员和企业内部员工不健康的终端均无限制手段,严重威胁企业信息安全。
2.2 工程实施内容及建设方案
2.2.1 工程建设需求:(1)满足远程接入需求,实现用户在外网时能够安全接入DCN网络;(2)满足用户通过统一入口VPN方式接入DCN网络后,能够访问各类内网应用系统;(3)用户在外网接入内网时,应首先通过入口的Radius认证和动态口令认证;(4)终端在局域网通过有线或无线方式接入时,对终端安全性进行检测,认证后准许进入网络。
2.2.2 工程建设方案。
工程组网:Internet统一出入口通过一台Juniper ISG2000防火墙DCN的出口网关设备,完成省公司员工访问Internet的访问控制和安全防护;两台SA4000设备部署在防火墙的DMZ区,连接在DMZ交换机上,采用A/P的高可用方式部署,防火墙映射一个公网地址到SA集群的浮动地址上。防火墙实现基本DOS保护、策略过滤,SA设备则实现SSL VPN,进行应用层保护过滤和接入。部署一套Juniper SBR radius软件,作为DCN网络AAA认证服务器,用于实现对内部各系统的集中身份认证和授权。该系统能够与原有的目录服务器结合,降低部署的复杂度。
终端安全检查策略:Juniper SA 4000设备在用户接入前通过预先设定的策略检查用户终端的安全状况,包括补丁、杀毒软件安装或更新情况。根据DCN的终端安全要求设定终端安全检查策略,一般建议检查是否安装有杀毒软件,不符合条件的拒绝登录或提示后登录。
接入方式:由于SA 4000设备具有Core、SAM和NC三种接入方式,三种方式获得的权限各不相同,对于每个用户组(Role),需要选择其能够使用的接入方式。
资源策略设置:在每种接入方式下,可以设定Role能够访问的资源,类似于防火墙的ACL(访问控制列表)。根据不同Role的实际需要,设定不同的访问权限,保证每个用户能够访问到其必须访问的资源,同时不获得超出其工作需要的权限。
局域网内,通过部署Cisco的NAC方案实现无线和有线接入时基于802.1X的终端认证和健康性检查。企业可以根据不同的安全策略对终端安全状况进行检测,内容包括终端补丁安装情况、终端防病毒软件安装以及版本更新情况、病毒代码库的更新情况、个人防火墙的配置情况、屏幕保护的配置情况等,并保护企业重要信息资源不被外来终端访问,阻止外来终端或者未纳入终端管理系统的终端接入到企业网络。通过企业目录服务集成,提供统一身份认证,统一授权的基础,确保用户信息在各系统中的
同步。
2.3 工程实施效果
工程实施效果见表1。
3 结语
企业信息化建设过程中,较多关注于信息系统建设,对于信息化基础的网络安全,关注不够全面,本文重点关注于之前企业安全管理薄弱的网络接入控制技术,并结合业界解决方案,应用于实际工程。
参考文献
[1] 宁宇鹏,薛静锋.信息安全-理论、实践与应用[M].
[2] 马燕,曹周湛,等.信息安全法规与标准[M].北京:机械工业出版社.
[3] 高海英.VPN技术[M].北京:机械工业出版社.
篇10
近来较典型的是蠕虫与木马,比如说木马程序它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。近来就出现许多人的网络账户遭到木马程序盗取的案例。这些网络病毒使人民财产受到严重侵害,也严重威胁到我们的正常工作与生活。恶意的攻击和入侵所谓恶意的攻击和入侵可对信息的有效性和完整性进行有选择的破坏,也可在不影响网络正常工作的情况下,对网络进行数据监听,截获或捕捉传播在网络中的信息,这是计算机网络面临的主要威胁,引发网络安全的问题。
计算机网络受到威胁后果严重
1.国家安全将遭受到威胁
网络黑客攻击的目标常包括银行、政府及军事部门,窃取和修改信息。这会对社会和国家安全造成严重威胁,有可能带来无法挽回的损失。
2.损失巨大
很多网络是大型网络,像互联网是全球性网络,这些网络上连接着无数计算机及网络设备,如果攻击者攻击入侵连接在网络上的计算机和网络设备,会破坏成千上万台计算机,从而给用户造成巨大经济损失。
3.手段多样,手法隐蔽
网络攻击所需设备简单,所花时间短,某些过程只需一台连接Internet的PC即可完成。这个特征决定了攻击者的方式多样性和隐蔽性。比如网络攻击者既可以用监视网上数据来盗取他人的保密信息;可以通过截取他人的帐号和口令潜入他人的计算机系统;可以通过一些方法来绕过或破坏他人安装的防火墙等等。
网络安全防范技术
1.病毒的防范
计算机病毒变得越来越复杂,对计算机信息系统构成极大的威胁。在网络环境中对计算机病毒的防范是网络安全性建设中重要的一环。它的入侵检测技术包括基于主机和基于网络两种。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。对网络病毒的防范主要包括预防病毒、检测病毒和杀毒三种技术。网络版防病毒系统包括:(1)系统中心:系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制。(2)服务器端:服务器端为网络服务器操作系统应用而设计。(3)客户端:客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统中心发送病毒监测报告。(4)管理控制台:管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。
2.防火墙的配置
首先我们了解防火墙所处的位置决定了一些特点包括(1)所有的从外部到内部的通信都必须经过它(。2)只有有内部访问策略授权的通信才能被允许通过。(3)系统本身具有很强的高可靠性。所以防火墙是网络安全的屏障,配置防火墒是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是所有安全工具中最重要的一个组成部分。它在内部信任网络和其他任何非信任网络上提供了不同的规则进行判断和验证,确定是否允许该类型的信息通过。一个防火墙策略要符合4个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。也可对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时,也能提供网络使用情况的统计数据。当有网络入侵或攻击时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次,利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响,防止内部信息的外泄。
3.数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密包括传输过程中的数据加密和存储数据加密,对于传输加密,一般有硬件加密和软件加密两种方法实现。网络中的数据加密,要选择加密算法和密钥,可以将这些加密算法分为对称密钥算法和公钥密钥算法两种。对称密钥算法中,收发双方使用相同的密钥。比较著名的对称密钥算法有:美国的DES、欧洲的IDEA等。
4.应用入侵检测技术
入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。入侵检测系统的功能包括:监控和分析系统、用户的行为;评估系统文件与数据文件的完整性,检查系统漏洞;对系统的异常行为进行分析和识别,及时向网络管理人员报警;跟踪管理操作系统,识别无授仅用户活动。具体应用就是指对那些面向系统资源和网络资源的未经授权的行为进行识别和响应。入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的人侵者利用系统的安全缺陷对系统进行入侵的企图。目前主要有两类入侵检测系统基于主机的和基于网络的。前者检查某台主机系统日志中记录的未经授权的可疑行为,并及时做出响应。后者是在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的人侵做出及时的响应。
5.规范安全管理行为
单单在网络安全技术上提高也是不够的,因为网络人员也可能是造成网络安全的因素,所以安全管理行为的规范是必须的。一要内部有完善的安全管理规范,二要建立基于安全策略的搞笑网络管理平台。两方面统筹规划部署,达到提高整体安全性的效果。
相关期刊
精品范文
10网络监督管理办法